- Die sich auf jeder Website wiederholenden Zustimmungsverfahren für Cookie-Banner verursachen Ermüdung bei den Nutzern und gelten tatsächlich als gescheitertes System, das die Privatsphäre nicht schützt
- Da in der aktuellen Struktur jede Website die Zustimmungsprozesse individuell umsetzen muss, entsteht eine übermäßige Belastung für Betreiber kleiner Websites
- Als Lösung schlägt der Autor vor, die Cookie-Zustimmung zentral auf Ebene der Browser-Einstellungen zu verwalten
- Nutzer können mit einer einmaligen Einstellung den Umfang der Datennutzung zentral steuern, und der Browser wendet dies stellvertretend auf alle Websites an
- Dieser Ansatz wird als vernünftigere Lösung in drei Aspekten dargestellt: Verbesserung der Nutzererfahrung, höhere Effizienz der Regulierung und Entlastung der Entwickler
Die gescheiterte Realität der Cookie-Banner
- Datenschutzgesetze wie GDPR und CCPA wurden mit guter Absicht geschaffen, aber ihre Umsetzung ist ineffizient
- Unzählige Websites sind strukturell dazu gezwungen, Pop-ups wie “Accept All” oder “Manage Preferences” anzuzeigen
- Die meisten Nutzer klicken aus Ermüdung gedankenlos auf „Alle akzeptieren“
- Auf diese Weise wird die tatsächliche Entscheidungsfreiheit der Nutzer bedeutungslos, und das Interneterlebnis wird unbequemer
- Der Autor weist darauf hin, dass der Kern des Problems nicht darin liegt, „was geschützt werden soll“, sondern „wo es verwaltet werden soll“
Probleme der aktuellen Struktur
- 1) Consent Fatigue: Durch wiederholte Zustimmungsanfragen werden Nutzer abgestumpft, und eine wirklich „freiwillige Einwilligung“ kommt nicht zustande
- 2) Benachteiligung kleiner Betreiber: Großunternehmen können mit Rechtsteams und CMPs (Consent Management Platforms) reagieren, aber einzelne Blogger oder kleine und mittlere Unternehmen tragen die rechtliche und technische Last
- 3) Fehlende Kontrolle: Selbst wenn es neben „Accept All“ weitere Optionen gibt, schränken komplexe juristische Begriffe und lange Menüstrukturen die Wahlmöglichkeiten der Nutzer faktisch ein
Neuer Vorschlag: browserzentrierte Einwilligungsverwaltung
- Nutzer wählen bei der Ersteinrichtung des Browsers nur einmal ihre Präferenzen für die Datennutzung aus
- Essential Only: Nur unbedingt notwendige Cookies erlauben
- Performance & Analytics: Leistungsanalyse auf Basis anonymer Daten erlauben
- Personalized Experience: Personalisierte Inhalte und Werbung erlauben
- Custom: Detaillierte Einstellungen selbst anpassen
- Der Browser erlaubt oder blockiert Cookies je nach Website automatisch auf Grundlage der Nutzerwahl
- Cookies mit unklarem Zweck werden vom Browser automatisch blockiert
- Der Fokus der Regulierung verlagert sich von Millionen von Websites → wenigen großen Browser-Entwicklern, wodurch eine realistischere Aufsicht möglich wird
Erwartete Veränderungen
- Für Nutzer: Eine einmalige Einstellung sorgt für ein aufgeräumteres und schnelleres Interneterlebnis und verschafft echte Kontrolle über die eigenen Daten
- Für Website-Betreiber: Der Wegfall der Last durch Cookie-Banner und CMP-Verwaltung verbessert die Web-Performance und erhöht die Entwicklungseffizienz
- Für Aufsichtsbehörden: Statt unzähliger Websites müssen nur noch Browser-Entwickler überwacht werden, was die Durchsetzung der Gesetze effizienter macht
Von komplexen Systemen zu einem einfachen Standard
- Das heutige Internet steckt in einem komplexen Ökosystem fest, in dem jede Website ihr eigenes CMP anbindet
- Unzählige Tools, Werbenetzwerke und Analysedienste interagieren miteinander und verursachen doppelte Arbeit und Verwirrung
- Ein browserbasierter Ansatz fasst dies zu einem einzigen Standard zusammen
- Nutzerwahl → Browser → einheitliche Anwendung auf alle Websites
- Der Autor betont, dass diese Idee kein neues System schafft, sondern vielmehr die unnötig kompliziert gewordene aktuelle Struktur zurückbaut
2 Kommentare
Es wäre wirklich praktisch, wenn das komplett im Browser verarbeitet würde.
Hacker-News-Kommentare
Ich würde sagen, der Kern des Problems ist nicht das Gesetz selbst, sondern dass Websites bewusst nur in schikanöser Weise kooperieren, weil sie nicht auf Tracking verzichten wollen.
Es wird betont, dass es nicht die wünschenswerte Alternative sein kann, sich 5 Minuten lang durch ein „Zustimmung zu legalen Zwecken“-Menü zu kämpfen, sondern dass die ursprünglich beabsichtigte Option „Alle ablehnen“ ist.
In letzter Zeit setzen Gerichte dies aktiver durch, sodass der Button „Alle ablehnen“ zunehmend verschwindet.
Letztlich wäre das beste Ergebnis ein Web, in dem Websites den Do-Not-Track-Header respektieren und es weder Tracking noch Banner gibt.
Verwandter Link
Ich denke, das Problem liegt zu 100 % daran, dass das Gesetz schlecht formuliert wurde und dadurch diese Art böswilliger Befolgung überhaupt möglich ist.
Wenn man gute Ergebnisse will, muss das Gesetz selbst so geschrieben sein, dass es nicht missbraucht werden kann.
Websites werden vorhersehbar nach Gewinnmaximierung streben, daher sollte man bessere Gesetze schreiben.
Ich denke, das Gesetz, die Richtlinien und die Absicht sind alle klar.
Das größte verbleibende Problem ist tatsächlich die Struktur, in der einige wenige „Großkonzerne“ die Browser kontrollieren.
Auch Apple oder Google haben kein Interesse daran, Tracking zu einem Opt-in-Modell zu machen.
Ich denke, die Lage wird sich erst verbessern, wenn der Einfluss der großen Player im Browser-Ökosystem verringert wird und Maßnahmen wie der DMA stärker ausgeweitet werden, um monopolistische Dominanz einzudämmen.
Auch die US-amerikanische Klagekultur und die kulturellen Unterschiede zu Europa tragen ihren Teil dazu bei.
Wenn schon das Laden einer einzigen Google Font nicht dazu führen würde, dass Daten an Hunderte „Partner“ offengelegt werden, wären die meisten Einwilligungs-Pop-ups gar nicht nötig.
Gegenargument: Es ist ebenfalls eine Qual, auf jeder Website immer wieder nach der Cookie-Einwilligung gefragt zu werden.
Schon die rechtliche Compliance selbst ruiniert die User Experience und macht die Internetnutzung anstrengender.
Letztlich scheinen die Leute, die diese Gesetze machen, eher auf der Seite der Unternehmen zu stehen als bei tatsächlicher User Experience oder Privatsphäre.
Eine Struktur, in der standardmäßig getrackt wird, ist an sich inakzeptabel.
Do-Not-Track-Anfragen sollten zwingend gesetzlich durchgesetzt werden, und es sollte Geldbußen in Höhe eines Anteils des weltweiten Umsatzes geben.
Ich denke, die Verantwortung liegt stärker bei den Werbeanbietern als bei einzelnen Website-Betreibern.
Werbefirmen erzwingen bei der Auslieferung von Werbung eine Struktur, in der Consent-Manager für Ad-Tracking genutzt werden müssen.
Ich habe versucht, selbst ein Einwilligungsformular zu bauen, aber TCF ist viel zu kompliziert, und andere Lösungen als die von Werbefirmen bereitgestellten Consent-Banner werden praktisch gar nicht unterstützt.
Am Ende zahlen Werbeeinnahmen die Serverkosten, und für Betreiber von Hobbyseiten ist es schwer, solche komplexen Systeme zu stemmen.
Es wäre gut, wenn es eine einfache Option gäbe, die die Privatsphäre der Nutzer stärker respektiert, und ideal wäre eine Struktur, die sich einfach über den Browser steuern lässt.
Ich denke, diese Art der Datenerhebung sollte grundsätzlich verboten werden.
Ich frage mich, ob es überhaupt jemanden gibt, der auf eine Einwilligung wie „Dürfen wir Ihre Daten mit 500 Partner-Websites teilen?“ klicken würde.
Ich denke, es sollte verboten werden, dass Unternehmen die Weitergabe von Daten an Spamfirmen als „Teilen mit Partnern“ bezeichnen.
Das Wort „Partner“ hat einen Beiklang von Vertrauen und Gleichrangigkeit, aber tatsächlich ist es überhaupt nicht so.
Wenn es sich um Datenverkauf handelt, sollte gesetzlich vorgeschrieben sein, dies genau so klar zu formulieren, und man sollte auch konkret auf das Risiko von Spam-Leaks hinweisen.
Man sollte eher fragen: „Stimmen Sie zu, dass Ihre Daten an beliebige Firmen verkauft werden dürfen? Stimmen Sie dem Risiko zu, dass sie künftig für Spam oder Kriminalität verwendet werden? Ja/Nein“.
Ich habe gehört, dass zielgerichtete Werbung dreimal so viel Ertrag bringt wie normale Werbung.
Persönlich wäre es mir lieber, wenn trotz Tracking die Menge an Werbung auf ein Drittel sinkt.
Wenn ich dafür nur interessante Werbung wie für Tastaturen oder Herrenmode sehe und unnütze Anzeigen vermeiden kann, wäre das für mich in Ordnung.
Bei Werbung und Überwachung ist die Logik immer ähnlich.
Niemand will Werbung, aber starke Lobbygruppen stellen sich gegen ihre Abschaffung mit Verweis auf wirtschaftliche Schäden und ein sinkendes BIP.
Bei Überwachung ist es genauso: Das Argument „mehr Sicherheit“ verfängt in der Politik.
Ich denke, anhand von Kontext wie Website und Thema lassen sich bereits ausreichend relevante Anzeigen einblenden.
Zum Beispiel könnte man auf einer Hackerspace-Seite Raspberry-Pi-Werbung zeigen und auf einer Rockmusik-Seite Werbung für Vinyl oder Gitarrentabs.
Es gibt einen sehr einfachen Grund, warum viele Nutzer zustimmen: Sie wollen Zugang zu Inhalten auf Basis von Werbung plus Überwachung.
Beim Thema Altersverifikation ist es dasselbe.
Der DNT-Header wurde zwar einmal vorgeschlagen, war aber übermäßig simpel und konnte sich in der Praxis auch nicht durchsetzen. Verwandtes Dokument
Die Branche hält diese komplexe Struktur aufrecht, um die Zustimmungsraten der Nutzer zu maximieren.
Ein browserzentrierter Ansatz wäre technisch und aus Sicht der Nutzerfreundlichkeit am besten, aber die Werbe- und Datensammelindustrie hat von Grund auf nur Anreize, browserbasierte Kontrolle zu behindern.
Solange diese Akteure den Großteil des Webs beherrschen, ist eine browserbasierte Lösung letztlich schwer realisierbar.
Die eigentliche DNT-Funktion war tatsächlich in Browsern eingebaut, wurde aber von Websites ignoriert.
Laut der Chrome-Hilfe kann man DNT-Anfragen senden, aber die meisten Websites sammeln weiterhin Daten unter dem Vorwand, sie würden „die Sicherheit erhöhen“, „Inhalte, Dienste und Werbung bereitstellen“ oder „statistische Berichte“ erstellen.
Fast alle Webdienste einschließlich Google reagieren nicht auf DNT-Anfragen, und auf Browser-Seite bleibt praktisch nur, beim Beenden alle Cookies zu löschen.
Verwandtes Dokument
Altersverifikation und Datenschutzeinwilligung funktionieren am besten, wenn sie auf Browser-Seite gehandhabt werden.
Wie beim Beispiel P3P könnten browser-/OS-basierte Kontrollen der realen Tracking-Struktur der Branche einen schweren Schlag versetzen, weshalb große Anbieter solche Lösungen absichtlich ignorieren oder behindern, aus Angst, dass sie an Bedeutung gewinnen.
In der Folge müssen einzelne Website-Betreiber immer wieder übermäßig komplexe Regulierung schultern.
Eine witzige Beobachtung: Wenn der DNT-Header einfach korrekt verarbeitet würde, bräuchte man den Einwilligungsbildschirm selbst gar nicht.
Man müsste dann schlicht keine Funktionen verwenden, die eine Einwilligung erfordern.
Ich denke, Browser sollten inzwischen als öffentliches Gut behandelt werden.
Da die Vorteile privaten Eigentums hier fehlen, wäre es richtig, sie als öffentliches Gut zu verstehen.
Zu der Behauptung „Der Browser sollte die Privatsphäre durchsetzen, und der Nutzer sollte nur einmal im Browser auswählen, woran sich danach alle Websites automatisch halten“
wird daran erinnert, dass ein Browser letztlich Software ist, die Nutzer installieren, und es wird infrage gestellt, ob staatlicher Eingriff hier wirklich angemessen ist.
Nach dieser Logik wären zusätzliche Regulierungen nötig, die Websites verpflichten, die einzelnen Cookie-Zwecke als Metadaten offenzulegen, und am Ende wären das erneut zusätzliche Vorgaben für Website-Administratoren.
Es wird erwähnt, dass es bereits Browserfunktionen wie Inkognito-Modus und Multi-Account Containers gibt.
Verwandter Link
Es wird gefragt, auf welcher Grundlage staatlicher Eingriff problematisch sein soll.
Es wird infrage gestellt, ob es überhaupt einen substanziellen Unterschied zwischen Regulierung von Website-Code und Regulierung von Browser-Code gibt.
Ich denke, es besteht ein offensichtlicher Interessenkonflikt, weil der meistgenutzte Browseranbieter zugleich ein Werbeunternehmen ist.
Ich denke nicht, dass Browser dieses Problem lösen sollten.
Cookie-Banner sind vor allem als Frage der Zustimmung zu Tracking-Cookies bekannt, aber tatsächlich geht es um eine Struktur, in der für jede technisch nicht zwingend notwendige Beteiligung Dritter, etwa Werbung, eine Einwilligung nötig ist.
Der Browser kann nicht unterscheiden, welche 3rd party wirklich technisch erforderlich ist, daher ist das letztlich etwas, das die einzelne Website mitteilen muss.
Weil sich dabei die Verantwortung von Website-Anbieter und Drittpartei vermischt, wird das Problem noch komplexer.
Ich denke, das Problem wäre sofort gelöst, wenn Websites gesetzlich einfach zur Einhaltung des DNT-Headers verpflichtet würden.
Ein einfaches Problem braucht eine einfache Lösung.
Ein Webbrowser hat grundsätzlich keine Möglichkeit zu erkennen, mit welcher Absicht einzelne Elemente einer Website eingebunden sind, also ob sie technisch notwendig sind oder dem Tracking dienen.
Das sind Informationen, die nur der Website-Betreiber kennen kann.
Das Cookie-Gesetz gilt nicht nur für Cookies, sondern für das gesamte Spektrum an Tracking-Methoden zur Identifizierung von Personen, darunter Pixel-GIFs und JS-Fingerprinting.
Wenn gesetzlich vorgeschrieben wäre, Cookies mit Tags wie „third-party“ und „strictly necessary“ zu versehen, könnte falsche Kennzeichnung wie heute als GDPR-Verstoß sanktioniert werden.
Der Browser könnte diese Tags auslesen und abhängig vom Nutzerwillen Tracking pro Website erlauben oder ablehnen.
Man könnte wie beim HTTP/HTTPS-Schloss in der URL-Leiste eine Statusanzeige einbauen und damit auch personalisierte Regeln pro Website festlegen.
Auch Betreiber kleiner Websites sollten die Funktionsweise der Cookies ihrer Werbenetzwerke oder Analysetools kennen und korrekt kennzeichnen.
Wenn Cookie-Einwilligungs-Pop-ups besonders lästig funktionieren, schließe ich den Tab einfach und gehe weiter.
Ich habe festgestellt, dass Cookie-Hinweise und minderwertige Inhalte fast proportional zusammenhängen, also spart mir das eher Zeit.
Selbst auf Arzt-Websites erscheinen inzwischen Cookie-Banner.
Es wird gefragt, ob man dann auch auf solche Seiten einfach verzichten würde.
Ich denke, Global Privacy Control (GPC) löst dieses Problem bereits schrittweise und ist in Firefox auch schon als Ersatz für Do Not Track umgesetzt.
Jetzt muss nur noch gesetzlich vorgeschrieben werden, dass Websites dies einhalten.
GPC-Link
Offizielle Firefox-Info
DNT hatte in der EU bereits rechtliche Wirkung, und es scheint keinen grundlegenden Unterschied zu geben, nur weil es jetzt GPC heißt.
In einigen US-Bundesstaatengesetzen steht, dass ein vom Browser per Standardeinstellung gesendetes Signal nicht als „gültiges Signal“ anerkannt wird; wenn die rechtliche Pflicht verschärft würde, könnte GPC auf dieselbe Weise ausgehebelt werden.
Damit wird letztlich darauf hingewiesen, dass die Gesetze zugunsten der Tracker formuliert sind.
Es wird dem Punkt zugestimmt, dass Firefox GPC technisch bereits einführt, noch bevor eine gesetzliche Pflicht besteht.
Ich denke, wenn Unternehmen einfach auf Tracking verzichten würden, bräuchte man solche Einwilligungsfenster gar nicht.
Ich denke, die EU sollte hier zuerst vorangehen.
Selbst auf der offiziellen Website der EU-Kommission gibt es Cookie-Banner, daher muss die EU entweder Tracker von ihren Websites entfernen oder eingestehen, dass das Gesetz in der Praxis zu schwierig ist.
Es gibt viel zu tun.
Website der EU-Kommission als Referenz
Unternehmen handeln aber immer nach Gewinninteressen.
Entgegen den Erwartungen der Nutzer priorisieren sie auch beim Tracking ausnahmslos den Profit.
Realistisch gesehen werden Unternehmen nicht freiwillig damit aufhören, und wenn „Cookies“ verboten werden, werden sie stattdessen auf andere Tracking-Methoden wie Browser-Fingerprinting ausweichen.
Ich denke, es könnte eine grundlegendere Maßnahme sein, all dieses Tracking schlicht zu verbieten.
Es gibt schließlich kaum Nutzer, die freiwillig zustimmen würden.
Das Problem bei der Gesetzgebung ist, dass die Definition von „Tracking“ unklar ist, weshalb Website-Betreiber oft kaum eine andere Wahl haben, als vorsichtshalber Einwilligungsbildschirme einzubauen, um keinen Gesetzesverstoß zu riskieren.
Kalifornien hat ein Gesetz eingeführt, das Browser ab 2027 zu einer Opt-out-Einstellung verpflichtet, und derzeit schreiben Kalifornien, Connecticut und Colorado vor, dass Opt-out-Anfragen über Browser oder Erweiterungen respektiert werden müssen.
Für New Jersey gilt dasselbe.
Kalifornisches Gesetz
Offizielle Mitteilung aus Connecticut & Colorado
FAQ zum Datenschutz in New Jersey
Ich frage mich, ob solche Gesetze tatsächlich den ursprünglich beabsichtigten Effekt haben.
Wenn nicht, warum bestehen sie weiter, und warum werden nicht alle Gesetze automatisch aufgehoben, wenn sie ihre Legitimation nicht ständig neu belegen?
Das habe ich mich ähnlich gefragt; persönlich habe ich den Eindruck, dass diese Gesetze mein Leben und das Internet nur etwas unbequemer gemacht haben, ohne dass ich große praktische positive Effekte bemerkt hätte.
Es wird gefragt, was überhaupt als „Ziel erreicht“ gelten soll.
„Hört eine Website tatsächlich auf zu tracken, wenn man Cookies ablehnt?“ → Manche tun es, manche nicht.
Trotzdem wird der Zweck selbst weiterhin als gültig angesehen.
Wenn man fragt, ob GDPR wirksam ist, würde ich mit Ja antworten.
Völlig ignorieren tun es nur Unternehmen, denen man ohnehin nicht trauen kann, und auch Firmen, die es böswillig befolgen, bekommen zunehmend einen schlechten Ruf und ändern sich allmählich.
Ich glaube, die Zeit, in der Nutzerdaten nicht geschützt wurden, ist vorbei.